Интергация с AD на уровне выдачи доступа к очередям.

[tyesman]

Доброго дня коллеги.
Кто нибудь пробовал настроить интеграцию OTRS на уровне групп Active Directory, так, чтобы выдача доступов к очередям выдавались полностью через AD и вообще это возможно?

Предполагаю, что такое возможно, для каждой очереди завести группу, связать с группой OTRS и ограничивать доступы к очередям на уровне ACL.
Радиант, поделитесь опытом.

[ykolesnikov]

А эта статья Вас не устроит?
http://vmkh.net/integratsiya-otrs-s-active-directory/
viewtopic.php?f=4&t=2690
Если будете внимательно читать, найдете ответ и на свой вопрос.

[alexus]

Мануал читайте стандартный - http://otrs.github.io/doc/manual/admin/ ... h-backends
Там же есть отсылка на примеры в Defaults.pm. И там же всё есть про синхронизацию групп

Код: Выделить всё

AuthSyncModule::LDAP::UserSyncGroupsDefinition

ограничивать доступы к очередям на уровне ACL

Вообще-то доступ к очередям ограничивается группами. ACL тут избыточны. Хотя для некоторых сценариев работы это может потребоваться.

[tyesman]

Спасибо Алексей, похоже это то что нужно.

[tyesman]

Разбираюсь с логикой механизма синхронизации групп/ролей LDAP с OTRS, именно LDAP > OTRS.

В мануале http://otrs.github.io/doc/manual/admin/ ... h-backends предлагается такая конструкция:

Код: Выделить всё

$Self->{'AuthSyncModule::LDAP::UserSyncGroupsDefinition'} = {
    # your ldap group
    'cn=agent,o=otrs' => {
        # otrs group(s)
        'admin' => {
            # permission
            rw => 1,
            ro => 1,
        },
        'faq' => {
            rw => 0,
            ro => 1,
        },
    },
    'cn=agent2,o=otrs' => {
        'users' => {
            rw => 1,
            ro => 1,
        },
    }
};

Где:
агент с логином agent при авторизации получит доступы в группу admin (rw-да,ro-да), группу faq (rw-нет,ro-да).
агент с логином agent2 при авторизации получит доступы в группу users (rw-да, ro-да).

Вроде бы все понятно. Всего 2 агента, для них не сложно прописать в конфиге 10-15 строчек.

Как быть если агентов 300+ человек, и групп 200-250+?
И доступы необходимо обновлять ежедневно на основании групп LDAP, без необходимости править конфиг OTRS.

С ролями и аттрибутами LDAP ситуация примерно похожая - необходимо все варианты отразить в конфиге.
С ролями должно быть проще, но опять же для 250+ очередей необходимо завести роли и прописать в конфиге.

Здесь показан пример, при котором назначение группы выдается на основании аттрибута LDAP.

Код: Выделить всё

#    $Self->{'AuthSyncModule::LDAP::UserSyncAttributeGroupsDefinition'} = {
#        # ldap attribute
#        'LDAPAttribute' => {
#            # ldap attribute value
#            'LDAPAttributeValue1' => {
#                # otrs group
#                'admin' => {
#                    # permission
#                    rw => 1,
#                    ro => 1,
#                },
#                'faq' => {
#                    rw => 0,
#                    ro => 1,
#                },
#            },
#        },
#        'LDAPAttribute2' => {
#            'LDAPAttributeValue' => {
#                'users' => {
#                    rw => 1,
#                    ro => 1,
#                },
#            },
#         }
#    };

Снова надо перечислить все возможные аттрибуты LDAP и назначение доступов для групп.

Вопросы:
1) в OTRS 4+ из админки можно настроить правила синхронизации с LDAP (примерно так как правятся ACL)?
2) есть ли альтернативный (платный модуль?) способ настройки синхронизации групп/ролей LDAP с OTRS без необходимости править Defaults.pm/других_конфигов из консоли сервера?

Задача простая, передать выдачу доступов в OTRS в первую линию тех. поддержки без необходимости ходить в интерфейс OTRS и дергать сисадминов.